Gateway

Appliquer le drapeau HttpOnly aux cookies d’authentification

À partir de la version 13.0-89.x de Citrix Gateway et des versions ultérieures, l’indicateur HttpOnly est disponible sur les cookies d’authentification des scénarios VPN, à savoir les cookies NSC_AAAC et NSC_TMAS. Le cookie d’authentification NSC_TMAS est utilisé lors de l’authentification nFactor et le cookie NSC_AAAC est utilisé pour la session authentifiée. Le drapeau HttpOnly sur un cookie limite l’accès aux cookies à l’aide de l’option de cookie de document JavaScript. Cela permet de prévenir le vol de cookie dû à des scripts intersites.

Scénario pris en charge

L’indicateur HttpOnly est pris en charge pour l’authentification nFactor.

Comportement lorsque le bouton HttpOnlyCookie du paramètre AAA de Citrix ADC est utilisé avec le bouton HttpOnlyCookie de tmsession :

  • Lorsque le bouton HttpOnlyCookie du paramètre d’authentification, d’autorisation et d’audit est activé et que l’authentification nFactor est utilisée, le bouton HttpOnlyCookie du paramètre d’authentification, d’autorisation et d’audit remplace le bouton HttpOnlyCookie de la session TM. De plus, NSC_TMAS et NSC_AAAC sont marqués HttpOnly quel que soit le type de session, qu’il s’agisse d’une session VPN, d’une session TM ou lors de l’authentification nFactor.
  • Si le bouton HttpOnlyCookie est désactivé, l’indicateur HttpOnly n’est pas défini pour une session VPN. Pour le scénario d’authentification, d’autorisation et d’audit, l’indicateur HttpOnly est défini en fonction de la valeur du bouton de session TM.

Configurez la fonctionnalité HttpOnly à l’aide de l’interface de ligne de commande

  • Activer le drapeau HttpOnly

     set aaa parameter -httpOnlyCookie ENABLED
     <!--NeedCopy-->
    
  • Vérifiez l’état de la fonctionnalité HttpOnly

     show aaa parameter
     <!--NeedCopy-->
    

Limitations

  • Lorsque la fonctionnalité HttpOnly est activée, le bouton de la page d’accueil du client Citrix Secure Access ne fonctionne pas.
  • L’indicateur HttpOnly n’est défini dans aucune authentification classique.
Appliquer le drapeau HttpOnly aux cookies d’authentification